Cum pot să știu dacă serverul SSH care rulează curent este OpenSSH sau Dropbear?

Dacă intru în dosar /etc/ssh/ssh_config, pot vedea „$OpenBSD” în partea de sus a fișierului. Cu toate acestea, dacă schimb portul implicit la o valoare diferită, nu pare să funcționeze. Un coleg m-a informat că pentru că Dropbear este serverul de software aici, nu OpenSSH.

Există vreo modalitate de a fi sigur? Nu găsesc un răspuns pe google.

Conectați-vă la portul ssh (de exemplu, 22) și inspectați bannerul.

$ nc 10.0.0.10 22
SSH-2.0-OpenSSH_8.6

Majoritatea (dacă nu toate?) serverele SSH trimit un fel de șir de versiuni imediat după conectare. Într-un mic proiect de cercetare de-al meu, am încercat să mapez versiunea serverului SSH într-un spațiu IPv4 mare și ceea ce am făcut a fost practic port adresa nc.

L-am introdus într-un script perl cu un timeout pentru o procesare mai ușoară din partea mea, precum și un timeout opțional cu o valoare implicită:

#!/usr/bin/perl
folosiți avertismente;
folosiți strict;

exceptând cazul în care ($ARGV[0] && $ARGV[1]) { die „Utilizare: ./raw nume de gazdă port [timeout]\n” }
my $timeout = '10s';
dacă ($ARGV[2]) { $timeout = $ARGV[2] }

my $response = `timeout $timeout nc $ARGV[0] $ARGV[1]`;
imprimă $răspuns;

Testarea acestuia pe un server din rețeaua mea:

./sshbanner.pl 172.16.16.11 22
SSH-2.0-OpenSSH_5.3

Dacă sunteți pe server, uitați-vă la procesul atașat la portul de rețea unde ssh Este de așteptat (22 sau altceva).

Poți să folosești netstat sau ss pentru asta. Apoi veți putea găsi linia de comandă completă a serverului care rulează, care poate fi suficientă pentru a-l identifica sau puteți utiliza alte opțiuni:

• alergare siruri de caractere pe acesta este într-adevăr ultimul curs de acțiuni, dar poate da rezultate (cu siguranță veți găsi înapoi și șirul care este raportat de server de la distanță, așa cum arată alte răspunsuri)
• puteți găsi fișierele deschise pe care le are procesul (căutați în /proc/$PID/fd) care poate oferi fie o legătură către un fișier de configurare, fie un fișier jurnal și, în mod ideal, fișierul jurnal ar oferi suficiente informații pentru a identifica ce proces este acesta.

Sau, în funcție de sistemul și configurația dvs., de exemplu, puteți utiliza listă-unități systemctl pentru a vedea exact ce rulează în prezent și care este ssh server (apoi prin inspectare systemd unitate, veți vedea ce linie de comandă este și alte informații)

Dacă sunteți extern la server, atunci vedeți alte răspunsuri, dar nu există nicio garanție că a fost returnat de la serverul de la distanță este adevărul, se poate afișa ca orice dorește.

O altă opțiune de la distanță ar fi să faci niște „amprentare SSH”.Nu am văzut asta direct, dar sunt sigur că există. Practic, prin testarea diferitelor tipuri de conexiuni, se pot determina unele informații din partea de la distanță, pe lângă ceea ce pretinde a fi. Presupun că mai multe scanere de vulnerabilități au astfel de lucruri.

Poți să folosești ps pentru a obține lista proceselor și grep ieșirea pentru sshd.
Cu aceasta, veți obține calea către binarul executabil {{ de ex /usr/sbin/sshd sau ceva de genul ăsta }}.
Apoi puteți executa acest binar cu -? pentru a obține ajutor și informații despre utilizare. Această ieșire va conține Numele definitiv al pachetului {{ de exemplu OpenSSH sau Dropbear sau ceva de genul }}.